NORMA ISO/IEC 27002

ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000 en las que se reúne
mantener sistemas de gestión de seguridad de información.

La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133 controles; qu
estructura:

A continuación se realiza una descripción de los aspectos que deben ser tenidos en cuenta al momento de
norma ISO 27002:
5. Política de seguridad

Estos controles proporcionan la guía y apoyo de la dirección para la seguridad de la información en relació

6. Estructura organizativa para la seguridad

Organización interna: estos controles gestionan la seguridad de la información dentro de la Organización.
política de seguridad de la información, asignando los roles de seguridad y coordinando la implantación de
Terceras partes: estos controles velan por mantener la seguridad de los recursos de tratamiento de la info
la organización.

7. Clasificación y control de activos

Responsabilidad sobre los activos: estos controles pretenden alcanzar y mantener una protección adecuad
Clasificación y control de de la información: la información se encuentra clasificada para indicar las necesid
previsto para su tratamiento.

8. Seguridad del personal

Este conjunto de controles se enfocan en asegurar que los empleados, contratistas y usuarios de terceras
y sean aptos para las funciones que desarrollen, para reducir el riesgo de robo, fraude y mal uso de las ins

9. Seguridad fisica y del entorno

Áreas seguras: Los servicios de procesamiento de información sensible deben estar ubicados en áreas seg
por barreras y controles de entrada, protegidas físicamente contra accesos no autorizados.
Seguridad de los equipos: se enfoca en los controles de protección contra amenazas físicas y para salvagu
infraestructura del cableado.

10. Gestión de las comunicaciones y operaciones

Procura asegurar, implementar y mantener un nivel apropiado de seguridad de la información, además de
recursos de tratamiento de información, minimizando el riesgo de fallos en los sistemas y asegurando la p
la protección de su infraestructura de apoyo.

11. Control de accesos

Controla los accesos a la información y los recursos de tratamiento de la información en base a las necesid
el control de los accesos.

12. Desarrollo y mantenimiento de sistemas

Se diseñan y desarrollan controles adicionales para los sistemas que procesan o tienen algún efecto en act
Dichos controles se determinan en función de los requisitos de seguridad y la estimación del riesgo.

13. Gestión de incidentes de seguridad de la información

Se establecen informes de los eventos y de los procedimientos realizados, todos los empleados, contratista
procedimientos para informar de los diferentes tipos de eventos y debilidades que puedan tener impacto e
14. Gestión de la continuidad del negocio
La seguridad de información debe ser una parte integral del plan general de continuidad del negocio (PCN
organización. El plan de gestión de la continuidad debe incluir el proceso de evaluación y asegurar la reanu

15. Cumplimiento
Contempla acciones que eviten incumplimientos de cualquier ley, estatuto, regulación u obligación contrac
y fuera de la organización. Los requisitos legales específicos deberían ser advertidos por los asesores legal
Además se deberían realizar revisiones regulares de la seguridad de los sistemas de información.
 DESCRIPCION DE LA PLANTILLA ISO 27002
Dominio Número del dominio
Obj. de control Cantidad y número del objetivo de control
Controles Cantidad y número de controles por cada objetivo
Orientacion Proporciona información sobre la obligatoriedad de implementar o no el control
Descripcion Breve descripción de cada objetivo de control agrupandolos por dominio
PD Peso del dominio
NC.D Nivel de cumplimineto del dominio
PO Peso del objetivo
NC.O Nivel de cumplimineto del dominio
PC Peso del control
NC.C Nivel de cumplimiento del control
Escala Escala del cumplimiento del control

Indicaciones para usar la plantilla correctamente:

Ingrese valores entre 0 y 100 SOLO en los cuadros azules, los cuales corresponderán al valor asignado al nivel de cumpli
en cuenta que en esta escala de valoración, el "0" indica que no cumple el control y "100" que lo cumple satisfactoriame
valores intermedios cuando se cumple parcialmente cualquiera de los controles.

Objetivos
Dominios Controles
de Control Orientación Descripción
1 2 Política de Seguridad
5
1 2 Política de Seguridad de la Información
2 11 Estructura organizativa para la seguridad
8 Organización Interna
1
6 6 Puede Contacto con autoridades
3 Terceras partes
2
2 Debe Temas de seguridad a tratar con clientes
Objetivos
Dominios
de Control
Controles Orientación Descripción
2 5 Clasificación y control de activos
1 3 Responsabilidad sobre los activos
7
2 Clasificación de la información
2
2 Debe Etiquetado y manejo de la información
3 9 Seguridad en el personal
1 3 Antes del empleo
3 Durante el empleo
2
8 3 Debe Procesos disciplinarios
3 Terminación o cambio del empleo
3 1 Debe Responsabilidades en la terminación
3 Debe Eliminación de privilegios de acceso
Objetivos
Dominios
de Control
Controles Orientación Descripción
2 13 Seguridad fisica y del entorno
1 6 Áreas Seguras
9
 9 7 Seguridad de los Equipos
2 5 Debe Seguridad del equipamiento fuera de las instalaciones
6 Debe Seguridad en la reutilización o eliminación de equipos
Objetivos
Dominios
de Control
Controles Orientación Descripción
10 32 Gestión de comunicaciones y operaciones
4 Procedimientos operacionales y responsabilidades
1 2 Debe Control de cambios
4 Debe Separación de las instalaciones de desarrollo y producción
2 3 Administración de servicios de terceras partes
2 Planificación y aceptación del sistema
3
1 Debe Planificación de la capacidad
2 Protección contra software malicioso y móvil
4
1 Debe Controles contra software malicioso
10 1 Copias de seguridad
5
1 Debe Información de copias de seguridad
2 Administración de la seguridad en redes
6
1 Debe Controles de redes
4 Manejo de medios de soporte
7
3 Debe Procedimientos para el manejo de la información
5 Intercambio de información
8
1 Debe Políticas y procedimientos para el intercambio de información
9 3 Servicios de comercio electronico
10 6 Monitoreo y supervisión
Objetivos
Dominios
de Control
Controles Orientación Descripción
7 25 Control de accesos
1 Requisitos de negocio para el control de acceso
1
1 Debe Política de control de accesos
4 Administración de acceso de usuarios
1 Debe Registro de usuarios
2 2 Debe Administración de privilegios
3 Debe Administración de contraseñas
4 Debe Revisión de los derechos de acceso de usuario
3 Responsabilidades de los usuarios
1 Debe Uso de contraseñas
3
2 Puede Equipos de cómputo de usuario desatendidos
3 Puede Política de escritorios y pantallas limpias
7 Control de acceso a redes
1 Debe Política de uso de los servicios de red
2 Puede Autenticación de usuarios para conexiones externas
3 Puede Identificación de equipos en la red
4
11 4 Debe Administración remota y protección de puertos
5 Puede Segmentación de redes
6 Debe Control de conexión a las redes
7 Debe Control de enrutamiento en la red
6 Control de acceso al sistema operativo
1 Debe Procedimientos seguros de Log-on en el sistema
2 Debe Identificación y autenticación de los usuarios
5 3 Debe Sistema de administración de contraseñas
 5

4 Puede Uso de utilidades de sistema

5 Debe Inactividad de la sesión
6 Puede Limitación del tiempo de conexión
2 Control de acceso a las aplicaciones y la información
6 1 Puede Restricción del acceso a la información
2 Puede Aislamiento de sistemas sensibles
2 Ordenadores portátiles y teletrabajo
7 1 Puede Ordenadores portátiles y comunicaciones moviles
2 Puede Teletrabajo
Objetivos
Dominios
de Control
Controles Orientación Descripción
6 16 Desarrollo y mantenimiento de sistemas
1 1 Requerimientos de seguridad de sistemas de información
2 4 Procesamiento adecuado en aplicaciones
3 2 Controles criptográficos
3 Seguridad de los archivos del sistema
12 4
1 Debe Control del software operacional
5 Seguridad en los procesos de desarrollo y soporte
5 1 Debe Procedimientos de control de cambios
2 Debe Revisión técnica de los cambios en el sistema operativo
6 1 Gestión de vulnerabilidades técnicas
Objetivos
Dominios
de Control
Controles Orientación Descripción
2 5 Gestión de incidentes de la seguridad de la información
13 1 2 Notificando eventos de seguridad de la información y debilidades
2 3 Gestión de incidentes y mejoramiento de la seguridad de la información
1 5 Gestión de la continuidad del negocio
14
1 5 Aspectos de seguridad de la información en la gestión de continuidad del negocio
Objetivos
Dominios
de Control
Controles Orientación Descripción
3 10 Cumplimiento
6 Cumplimiento con los requisitos legales
1 1 Debe Identificación de la legislación aplicable
15
3 Debe Protección de los registros de la organización
2 2 Cumplimiento con las políticas y estándares de seguridad y cumplimiento técnico
3 2 Consideraciones de la auditoria de sistemas de información

Dominios 11
Objetivos de control 39
Controles 133
LLA ISO 27002

o el control

Escala visual de la valoración del control

Alto Mas del 70% de cumplimiento

Medio Entre el 30 y 69 % de cumplimiento
Bajo Por debajo del 30%

gnado al nivel de cumplimiento de cada control "NC.C" de la norma; tenga

cumple satisfactoriamente, recuerde que también se puede asignar

% de cumplimiento de la norma

PD NC. D PO NC. O PC NC. C Escala

1.5 70 100
100 70
8.27 61.82 100
72.73 46.37
9.09 50 50
27.27 15.45
9.09 50 50

PD NC. D PO NC. O PC NC. C Escala

3.76 68 100
60 46
40 22
20 40 40 6
6.77 66.7 100
33.33 23.33
33.33 25.55
11.11 50 50
33.33 17.78
11.11 40 40
11.11 50 50

PD NC. D PO NC. O PC NC. C Escala

9.77 68.46 100

46.15 35.38
 53.85 33.08
7.69 50 50
7.69 40 40

PD NC. D PO NC. O PC NC. C Escala

24.06 66 100
12.5 6.56
3.125 50 50
3.125 40 40
9.38 6.88
6.25 3.75
3.125 50 50
6.25 3.75
3.125 50 50
3.13 1.25
3.13 40 40
6.25 3.75
3.125 50 50
12.5 8.44
3.125 50 50
15.63 10.63
3.126 50 50
9.38 6.88
18.75 14.06

PD NC. D PO NC. O PC NC. C Escala

18.8 67.2 100

4 2.4
4 60
16 10
4 70
4 60
4 60
4 60
12 8.4
4 80
4 70
4 60
28 19.2
4 70
4 60
4 70
4 70
4 80
4 60
4 70
24 16.4
4 70
4 70
4 80
 4 60
4 60
4 70
8 4.8
4 60
4 60
8 6
4 80
4 70

PD NC. D PO NC. O PC NC. C Escala

12.03 64.39 100

6.25 3.75
25 18.13
12.5 7.5
18.75 11.88
6.25 50 50
31.25 18.13
6.25 50 50
6.25 50 50
6.25 5

PD NC. D PO NC. O PC NC. C Escala

3.76 68 100
40 26
60 42
3.76 78 100
100 78

PD NC. D PO NC. O PC NC. C Escala

7.52 66.66 100

60 38
10 50 50
10 50 50
20 13
20 16
DOMINIO OBJETIVOS CRITICOS VALOR MEJORA PROPUESTA ISO

Mejorar la comunicación
interna colaborador jefe
6 Contacto con autoridades 50 inmediato 27001

Dar prioridad al cliente y

Temas de seguridad a tratar con clientes 50 mejora tratamiento de datos 27000

Organización y etiquetado de
la informacion mas efectiva
7 Etiquetado y manejo de la información 40 mediante planillas 9001/2015

ser mas especificos en estos

procesos y tener en cuenta
8 Procesos disciplinarios 50 los descargos y circunstancias 27002

Delegar responsabilidades y
realizar seguimientos a los
Responsabilidades en la terminación 40 procesos 27001

Controlar los accesos a la red,

según niveles de seguridad y
necesida de uso,Quitando
acceso ala informacion a
personal que no deberia
Eliminación de privilegios de acceso 50 tenerla o accesarla 27001

Reforzar seguridad externa de

Seguridad del equipamiento fuera de las equipamiento con sistemas
9 instalaciones 50 seguros y confiables. 27001

Hacer un buen uso de la

Seguridad en la reutilización o eliminación de eliminacion de la informacion
equipos 40 y equipos de carácter grave 27001

Implementar un seguimiento
a los cambios realizados
mediante una bitacora y
10 Control de cambios 50 backcup ciclicos 9001

Realizar mejoras en la
producion con implemntacion
Separación de las instalaciones de desarrollo y de nuevos metodos efectivos
producción 40 de procesos 27001
 planificar,desarrollar e
implementar la capacidad de
funciones y desarrollo ,no
realizando adquisiciones a
Planificación de la capacidad 50 punto 27001

Mejorar los software de

seguridad,implementando
software mas efectivos contra
las intrucciones indseadas
Controles contra software malicioso 50 internas y externas 27002
Realizar un cronograma de
backcup constante en fisico y
Información de copias de seguridad 40 nubes seguras

Realizar controles mas

permanetes de permisos y
controles de trafico en
intranet e
internet.controlando el flujo
Controles de redes 50 de informacion 27001/27002

Realizar un manual de
procedimientos y soporte en
caso de fallas y protocolos de
pasos a seguir para evitar
fracturas en el
sistema,manteniminetos
Procedimientos para el manejo de la preventivos y correptivos si es
información 50 el caso 9001/2015

Evitar fuga de informacion a

Políticas y procedimientos para el intercambio departamentos que no la
de información 50 necesitan 27001

tener en cuenta todos los

software operacionales, sus
actualizaciones y fechas de
12 Control del software operacional 50 vencimientoy su operabilidad 27001

realizar una tabla de cambios

e informar a lo interesados y
si es preciso programar
capacitaciones para nuevas
Procedimientos de control de cambios 50 tecnologias 9001
 dentro del plan de
mantenimiento tener en
cuenta los sistemas
operativos,velocidad de
respuesta y programas en
segundo plano,adquisicion de
mas memoria ram a los
equipos y desistalar
Revisión técnica de los cambios en el sistema aplicaciones inadecuadas o
operativo 50 no usadas 2702

Tener en cuenta la aplicacuion

de la legislacion vigente,mirar
estado de licencias y pagar las
actualizaciones necesarias
para evitar demoniso de
15 Identificación de la legislación aplicable 50 equipos 27002/270018

encriptar,codificar y generar
codigos de acceso a
informacion privilegiada o de
uso exclusivo de personal de
Protección de los registros de la organización 50 rango alto o duirectivos 9001